**Una nueva vulnerabilidad crítica pone en riesgo a los sistemas de Kolay Software: CVE-2025-10970**

Recientemente ha emergido una vulnerabilidad crítica que ha captado la atención de expertos en ciberseguridad: CVE-2025-10970. Con una puntuación de 9.8 sobre 10 en el sistema de puntuación de vulnerabilidades comunes (CVSS), esta debilidad representa un riesgo considerable para los sistemas que emplean el software afectado, desarrollado por Kolay Software Inc. Dada su gravedad, es esencial que los equipos de seguridad de las organizaciones gestionen esta amenaza con prontitud y eficacia.

La vulnerabilidad en cuestión se clasifica como una inadecuada neutralización de elementos especiales utilizados en un comando SQL, comúnmente conocida como 'inyección SQL'. Específicamente, esta debilidad permite lo que se denomina "Blind SQL Injection", una técnica que permite a un atacante interactuar con la base de datos de una manera que no revela directamente la información, pero que puede ser utilizada para ejecutar comandos maliciosos que comprometan la integridad y la confidencialidad de los datos. Esta vulnerabilidad afecta a la versión del software Talentics que abarca desde el año 2002 hasta 2026.

Es importante destacar que el proveedor, Kolay Software Inc., fue contactado con antelación respecto a la divulgación de esta vulnerabilidad, pero no se recibió respuesta alguna, lo que plantea preocupaciones adicionales sobre la comunicación y gestión de riesgos por parte de la empresa.

Desde una perspectiva técnica, esta vulnerabilidad se clasifica bajo CWE-89, que hace referencia a un tipo específico de debilidad de seguridad en el manejo de comandos SQL. El vector de ataque se identifica como 'NETWORK', lo que implica que puede ser explotado a través de la red, y presenta una complejidad de ataque considerada baja. Además, no se requieren privilegios especiales para llevar a cabo el ataque, ni se necesita la interacción del usuario, lo que aumenta su potencial de explotación.

La alta puntuación de 9.8 en la escala CVSS indica que esta vulnerabilidad es crítica. Las vulnerabilidades que alcanzan puntuaciones superiores a 9.0 son consideradas de alto riesgo y generalmente permiten la ejecución remota de código, la escalada de privilegios o el compromiso total del sistema. Esto implica que, una vez que un atacante aprovecha esta vulnerabilidad, puede tener acceso total a los sistemas afectados, lo que puede conllevar a la pérdida de datos, interrupciones de servicios o incluso a la exposición de información sensible.

Para mitigar este riesgo, se recomienda encarecidamente a todas las organizaciones que utilizan el software Talentics que apliquen de inmediato los parches de seguridad disponibles. Además, se sugiere realizar una revisión exhaustiva de sus sistemas en busca de indicadores de compromiso, así como monitorizar el tráfico de red en busca de actividad sospechosa que pueda estar relacionada con esta vulnerabilidad. Para obtener más información técnica y sobre los parches disponibles, los administradores de sistemas pueden consultar la referencia proporcionada en https://www.usom.gov.tr/bildirim/tr-26-0081.

La aparición de CVE-2025-10970 se suma a una larga lista de incidentes relacionados con inyecciones SQL, una de las vulnerabilidades más comunes y peligrosas en el ámbito de la ciberseguridad. A lo largo de los años, se han documentado numerosos ataques exitosos que han explotado fallas similares, subrayando la importancia de una gestión de seguridad proactiva y actualizaciones regulares de software. La comunidad de ciberseguridad debe permanecer alerta y seguir desarrollando e implementando prácticas robustas para protegerse contra este tipo de amenazas que, por su naturaleza, pueden tener consecuencias devastadoras.